Für Dich dreht sich der Aufbau um [...] den logischen Aufbau, aber Skripte, die den logischen Aufbau umsetzen, gehören nicht mehr dazu? Da kann ich nicht mehr so richtig folgen. Der logische Aufbau de Hardware bringt doch nichts, wenn die Geräte softwareseitig nicht richtig konfiguriert sind? Ich jedenfalls sehe hier kein OT. Aber, wie Du schon richtig sagst, ist es wahrscheinlich eine Frage der Sichtweise.

Ich werde morgen mal meine Laborumgebung anwerfen und schauen, wie das mit den neuen VLANs funktioniert.

Wenn ich mich nicht irre, ging es am Anfang darum, welche Hardware die bessere Wahl ist um das eigene Netzwerk "richtig" aufbauen zu können.

Wenn wir jetzt für zB: 10 Firmen x 10 verschiedene Geräte, hier die möglichen Setups und Probleme diskutieren, dann wird das zumindes sehr unübresichtilich ... Ich würde es persönlich auch zielführender sehen, einen eigenen Thread für das spezielle HW-Setup (Firma, Produkt, Wünsche) und die sich daraus resultierenden Aufgaben und Probleme, zu öffnen.

Ist halt aber auch nur eine Sichtweise ...

Hallo zuammen,

interessante Diskussion, vor allem weil es mich aktuell auch betrifft. Mein Netzwerk ist ziemlich gewachsen, alles hängt über einen Switch an der Fritzbox. Vor allem um eine sinnvolle (VLAN) Segmentierung des Netzes muss ich mich endlich mal kümmern.

Aktueller Stand ist: Kabelanschluss > Fritzbox 6490 Cable > HP 1810-24 > Clients (und Unifi APs)

Neu stelle ich mir vor: Kabelmodem (weiterhin die Fritte?) > Router > Switch > ....

Welcher Mikrotik würde sich hier empfehlen? Hatte jetzt den RB3011 auf der Rille, weil der genug Leistungsreserve zu haben scheint. Aktuell habe ich 120 Mbit im Downstream. 400 Mbit sind schon verfügbar, etc.?
Nächster Schritt wäre die Firewall, spätestens wenn die Kids alt genug für Endgeräte sind. Sollte die gleich beim Netzumbau einbezogen werden? Kann den Aufwand für eine nachträgliche Re-Konfiguration nicht abschätzen.
OPNsense wurde genannt, taugt das auch als Standalone Router?

Da mach dir man keine Sorgen - der packt gut 2-3Gbit/s. Die Firewall hast du ja im Router von daher ist das kein eigenes Gerät falls du das meinst. Aber was hat die mit Kids zu tun?
Opensense bzw PFSense hab ich noch auf einer FW am laufen. Kann auch recht viel. Ist halt Geschmackssache was du lieber magst. MT ist da eher Leichtgewichtiger würde ich mal sagen.

Ich dachte da an Filterregeln, Sperren problematischer Inhalte...

Wenn man alles neu macht, ist MT sicher eine gute Wahl, wenn man die steile Lernkurve mitmachen möchte ...

Ich habe die pfSense (überlege auf die OPNsense umzusteigen = Aufwand).
An der hängt ein HP-1820-24G Switch.
Am Switch hängen alle Clients und die WLAN-APs.

https://knx-user-forum.de/filedata/f...4&d=1515402458

Wo liegen denn die "problematischen Inhalte"? Wenn sie auf deinem NAS liegen, kannst du das über Netzwerkfilter oder direkt Rechtemanagement auf dem NAS erledigen.

Wenn du eher das pöhse Internet meinst: vergiss es! Das schaffst du maximal ein paar Wochen. Selbst kommerzielle Filterprovider kommen da kaum hinterher. Außerdem filterst du eh nix was per LTE von draußen rein kommt oder was auf dem Schulhof ausgetauscht wird.

Ich muss hier auch mal eine Frage einwerfen. Meine aktuelle Konfig:

Speedport LTE (Wlan aus) -> Zyxel GS1900-24 Smart managed Switch -> Clients und Unifi AP´s

Bald:
Telekom VDSL100 -> Fritzbox 3390 (weil vorhanden) -> Zyxel GS1900-24 Smart managed Switch -> Clients und drei Unifi AP´s
Außerdem will ich unser Vereinsheim per Nanostation mit WLAN verbinden.

Ich wollte schon länger Ordnung in die Netzwerkarchitektur bringen und auch VLANS erstellen. Durch die Erweitung durch die Funkstrecke der Nanostation (ca 350m freies Feld) wird das gerade wieder aktueller. Natürlich möchte ich das ganze so sicher wie möglich machen. Wie könnte ich das Vereinsheim von meinem Heimnetz bestmöglich entkoppeln? Ich nehme an einfach ein separates VLAN und dann den Internetanschluss über einen gemeinsamen Trunk Port teilen bietet nur Scheinsicherheit?

Solange du dir selber traust bzw. den Personen die Zugriff auf den Trunk und die Switche / Router haben ist alles gut - dafür sind VLANs ja da um Netze zu isolieren wenn nur ein Kabel zur Verfügung steht.
Aber wenn du sagst Vereinsheim - den Leuten dort würde ich nicht trauen und somit nicht in mein Netz lassen. Da bleibt die nur ein eigenes Netz welches nur ins Internet darf. Da sehe ich aber das Problem der Fritte... Die kann glaube ich keine mehreren Netze ? Aber auch interessant wird es rechtlich - wenn du "privat" den Anschluss teilst "unter Freunden" hast DU die Haftung für das was da läuft - ála illegale Downloads und co. Bei so was musst du dich schon als Hotspot Betreiber positionieren, alleine um deinen allerwertesten zu schützen. Und da gehört ein wenig mehr dazu als nur ein Passwort auf das WLAN zu geben Informiere dich mal darüber.

Da kann ich nur beipflichten! Auf meiner PFSense läuft seid Jahren ein Proxy der auch filtert und die Trefferqoute ist trotz täglicher Updates der Listen nur bei gut 50-70%. (Werbung und bekannte Schadseiten filtere ich damit raus). Vermutlich wird aber der Proxy (da der auch nur HTTP untersucht kein SSL) rausfliegen und gegen ein DNS Filter ersetzt. Das muss reichen. Der Rest wird von AdBlockern und Virensoftware erledigt. So würde ich auch an DerSeppel seiner Stelle es machen und Jugendschutzsoftware einsetzen. Die sind meist noch besser. Aber wie GuruMeditation es schon sagte - spätestens mit der Schule ist vorbei.

Gedacht ist die WLAN Verbindung eigentlich nur zum Streamen, Spotify etc. Wobei ich eigentlich keine Bedenken hätte das Passwort bei Bedarf an Mitglieder weiterzugeben, sind nur ca 20 Möglich wäre zum Beispiel im Vereinsheim nur dem PC Zugang zu verschaffen. Die SSID der Funkstrecke könnte man verbergen und MAC Filter benutzten. Das wäre das was mir zuerst einfällt.

Ich glaube ich brauch' noch einen Schubser...
Ich habe heute angefangen das Netzwerk umzustellen, die ganzen festen IPs geändert usw... Wo ich "hänge" sind die unifi AP's: 1. ziehen sie keine IP (DHCP ist aber im AP eingeschaltet - leider geht das DHCP-Relay nur mit einem USG) und damit bekomme ich werde Zugriff auf das Inet noch auf das LAN. Die WLANs haben eine VLAN-ID zugewiesen, aber irgendwie wird sie ignoriert
Switch habe ich auf den beiden AP-Ports die VLANS aktiviert, Tagging ist eingeschaltet weil das Paket ja den Tagg braucht, kann es sein, dass auf dem MT noch etwas fehlt?

Wie ist denn dein Setup? AP direkt am ETH5/Trunk?

Und wer bekommt jetzt keine Adresse? Der AP oder deine Clienten?

am Trunk ist der VLAN switch, daran hängt der AP.
Der AP bekommt eine IP per DHCP, aber er vergibt keine wenn man sich anmeldet

Der AP vergibt auch keine das macht der DHCP Server in deinem Netz also der Unifi. Da der AP selbst einen Lease bekommt läuft der untagged verkehr schonmal.
Was hast denn für einen Switch da zwischen? Klingt als hättest da was falsch konfiguriert. Steck den AP doch mal direkt an den ETH5

der Unifi ist der AP und der MT ist eigentlich DHCP-Server, aber da der AP kein DHCP-Relay kann, habe ich dort den DHCP Server aktiveirt...
Der Switch ist ein PLANET SGSW-24040P..
Ich geh' mal in den Keller umstöpseln...
COOLE IDEE:
also es liegt am Switch...
Ich bekomme ich je nach WLAN den richtigen IP-Bereich zugewiesen und kann immer ins INternet aber vom Gastnetz nicht auf das Interne-LAN: -> der MT Router ist soweit richtig konfigiuriert...(und eigentlich die AP auch)